zoukankan      html  css  js  c++  java
  • 简单几招提高MySQL安全性【转自老叶茶馆】

    转自叶老师博客

    数据库的安全性无疑很重要,这里教大家几招简单方法提高安全性。

    1. 正确设置 datadir 权限模式

    关于 datadir 正确的权限模式是 0750,甚至是 0700。
    也就是最多只允许 mysqld 进程属主用户及其所在用户组可访问,但只有属主可修改文件。
    最好是直接设置成 0700,相对更安全些,避免数据文件意外泄漏。

    [yejr@imysql.com]# chown -R mysql.mysql /data/mysql57
    [yejr@imysql.com]# chmod 0700 /data/mysql57
    
    [yejr@imysql.com]# ls -la /data/
    drwxr-x---.  8 mysql mysql 4096 Feb 14 08:08 mysql57

    2. 将 mysql socket 文件放在 datadir 下

    很多人习惯将 mysql socket文件放在 /tmp 目录下,尤其是跑多实例时,/tmp 目录下可能有 mysql3306.sock、mysql3307.sock、mysql3308.sock 等多个这样的文件。
    要注意,mysql.sock 文件默认的权限模式是 0777,也就是任何人都有机会通过 /tmp 目录下的 socket 文件直接登入 mysql,尤其是root密码为空或弱密码,并且还允许本地 socket 方式登入时,是个比较危险的安全隐患。
    因此,我们强烈建议把 mysql socket 文件放置在每个实例自己的 datadir 下,并且参考第一条建议,设置正确的权限模式。

    [yejr@imysql.com]# chmod 0700 /data/mysql57/mysql.sock
    
    [yejr@imysql.com]# ls -la /data/mysql57/mysql.sock
    srwx------. 1 mysql mysql 0 Feb 12 16:00 /data/mysql57/mysql.sock

    3. 使用login-path

    一般来说,我们会为每个mysql账户设置密码,这样是安全了,但使用和维护起来就不方便了,每次都要输入密码,尤其是调用mysql client工具时,如果直接将密码写在client工具的选项里,则是非常危险的行为,从历史命令就能看到密码了,会有类似下面的提示:

    mysql: [Warning] Using a password on the command line interface can be insecure.

    这时候,我们其实可以利用login-path功能来提高安全性及便利性。这个特性是MySQL 5.6新增的。
    首先,利用 mysql_config_editor 配置login-path:

    #选项 ”-G lp-mysql57-3306”设定login-path的别名
    mysql_config_editor set -G lp-mysql57-3306 -S /data/mysql57/mysql.sock -uroot -p

    设置完后,就会在该用户的家目录下生成 .mylogin.cnf 文件:

    [yejr@imysql.com]# ls -la ~/.mylogin.cnf
    -rw-------. 1 yejr users 152 Feb 11 22:42 /home/yejr/.mylogin.cnf
    
    [yejr@imysql.com]# file ~/.mylogin.cnf
    /home/yejr/.mylogin.cnf: data

    这是个加密的二进制文件,即便用明文方式查看,也是无法显示密码的:

    [yejr@imysql.com]# mysql_config_editor print --all
    mysql_config_editor print --all
    [lp-mysql57-13306]
    user = root
    password = *****
    socket = /data/mysql57/mysql.sock

    接下来可以利用 login-path 很方便的登入 mysqld 而无需额外的密码:

    [yejr@imysql.com]# mysql --login-path=lp-mysql57-13306 -e "select 1+1 from dual"
    +-----+
    | 1+1 |
    +-----+
    |   2 |
    +-----+
    
    [yejr@imysql.com]# mysqladmin --login-path=lp-mysql57-13306 pr
    +----+------+-----------+----+---------+------+----------+------------------+
    | Id | User | Host      | db | Command | Time | State    | Info             |
    +----+------+-----------+----+---------+------+----------+------------------+
    | 3  | root | localhost |    | Query   | 0    | starting | show processlist |
    +----+------+-----------+----+---------+------+----------+------------------+

    在做好前面两条安全规则的前提下,即便万一家目录下的 .mylogin.cnf 文件被其他普通用户盗取,也无法利用 socket 方式登入 mysql,当然了,除非你之前在 login-path 里设置的是走 tcp/ip 方式,那就悲剧了~

    下面是假设 yejr 普通账号想利用 root 账号的 .mylogin.cnf 文件登入,报告失败,因为无法访问 /data/mysql57/mysql.sock 文件:

    [yejr@imysql ~]$ /usr/local/mysql57/bin/mysql --login-path=lp-mysql57-13306
    ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/data/mysql57/mysql.sock' (13)

    4. 防范误操作

    为了避免通过mysql cli客户端工具误操作执行全表更新/删除,以及大数据量的SELECT、JOIN,可以在 my.cnf 的 [mysql] 区间里设置下面几个选项:

    [mysql]
    safe-updates
    select_limit=4294967295
    max_join_size=4294967295

    这样就可以避免通过mysql cli客户端工具执行类似下面的SQL了:

    DELETE FROM t;
    UPDATE t set c=?;
    DELETE FROM t WHERE non_key = ?;
    UPDATE t set c=? WHERE non_key = ?;

    除非是改成像下面这样的:

    UPDATE t SET not_key_column=? LIMIT 1;
    DELETE FROM t LIMIT 1;

    5. 自己操作记录

    [root@hnanet ~]# mysql_config_editor set -G mysql3306 -S /tmp/mysql.sock -uroot -p
    Enter password: 
    
    [root@hnanet ~]# mysql_config_editor print --all
    [mysql3306]
    user = root
    password = *****
    socket = /tmp/mysql.sock
    
    [root@hnanet ~]# mysql --login-path=mysql3306  -e "select 1+1 from dual"
    +-----+
    | 1+1 |
    +-----+
    |   2 |
    +-----+

    延伸阅读

    转自

    iMySQL | 老叶茶馆 – 「知数堂」培训联合创始人,专注MySQL
    https://imysql.com/

  • 相关阅读:
    python从可迭代对象中取值
    python中可迭代对象和列表
    python中字典生成式
    Redis源码解析之跳跃表(一)
    Redis高可用集群
    Redis主从&哨兵集群搭建
    Java并发之ThreadPoolExecutor源码解析(三)
    Java并发之ThreadPoolExecutor源码解析(二)
    Java并发之ThreadPoolExecutor源码解析(一)
    并发编程之JMM&Volatile(三)
  • 原文地址:https://www.cnblogs.com/paul8339/p/13750327.html
Copyright © 2011-2022 走看看